序言
随着信息技术的迅猛发展,国内银行业面临的经营环境正发生着更深层次的变革。第一次变革是从21世纪初开始银行业耗费约10年时间逐步完成的数据大集中工程,它建立起新一代综合业务处理系统,令信息系统成为现代银行业不可或缺的一部分,信息化也成为我国银行参与国际竞争的重要手段。第二次变革是互联网金融的兴起,这给银行业带来巨大的冲击。在国家监管政策上,银行间利率市场化步伐加快,外资及民营银行准入门槛逐步开放;在技术上,互联网技术飞速发展,“电商金融”兴起,新兴民营资本逐步渗入;在消费需求上,客户消费习惯逐渐转变为“足不出户”办理业务。各类网贷平台、第三方支付的出现如雨后春笋,冲击着银行的存、贷、汇业务,银行业在向互联网和移动互联网方向快速转型。
国家互联网应急中心(CNCERT)监测显示,自2015年以来,信息安全事件频发,特别是针对银行、证券、基金等金融行业企业的APT(Advanced Persistent Threat,高级持续性威胁)[1]攻击频繁发生,银行业重要信息系统面临越来越严重的APT攻击威胁。近几年银行业的网络犯罪数量急剧攀升,银行业已经成为主要的攻击目标。为了保证二次变革中银行业务的正常运营,建立一个适应互联网时代的完整、稳定的信息安全防护机制,从银行业信息安全的特点和攻击/防御角度全面理解银行业的信息安全,已逐渐成为银行业信息技术发展的一个重要课题。
本书的三个特色
一是从攻防两个角度探讨安全。
本书一方面从金融业系统攻击的角度入手,探讨金融业所面临的攻击手段、攻击步骤和攻击思路;另一方面从防御体系与手段的角度入手,探讨金融业如何全面、系统地建立安全防御体系,从而启发金融业安全管理人员深刻理解金融安全威胁。银行业需要不断跟踪和掌握最新的攻击手段,从而能够通过黑客视角更有针对性地发现银行内部的安全薄弱环节。只有“知彼”,银行业才能不断跟踪和掌握攻击手段与更多信息,从而更有针对性地部署安全策略,对于银行业安全风控和合规也能够起到更好的作用。
二是力求系统性探讨安全。
本书系统性地对金融业攻击手段和安全防御体系做了梳理,辅助金融业安全领导者在解决实际安全问题中做系统性决策;为满足银行业合规管理、风险控制和提升银行业信息科技风险防控能力的要求,银行业应该全方位、多维度、高度统一地建立信息安全管控于一体的安全体系,制定高效的信息安全保障策略,提升信息科技风险防控能力和管理水平。
三是以银行业真实案例探讨安全。
本书的所有案例来源于真实事件,再现金融业的安全生态,并力求运用于实践,启迪金融业安全管理者智慧,以实现金融安全防御手段的不断创新。通过分析近些年国际银行业安全攻击事件,如孟加拉国SWIFT系统安全事件等带来的教训和启示,可以看到,银行业仅仅依靠传统的安全技术防护手段,仅仅关注传统安全管理技术手段,而不从攻击者视角研究银行业存在的安全隐患,是难以确保网络和系统始终不会被攻击者渗透和破坏的。银行业安全管理从业者应积极从中汲取经验教训,开展信息安全管理、技术运行维护体系的综合建设和治理工作,不断优化和完善现有银行业信息安全体系架构,不断提升银行业业务连续性管理和业务防灾能力,只有这样,才能有效推动银行业信息化建设工作,为维护国家金融安全,助力银行业业务由资本驱动型转型为科技驱动型提供坚实的技术基础和安全保障。
在本书的最后附有全书的思维导图,便于读者厘清思路阅读。
作者
2021年12月
定稿于南京